Una aplicación de Google Play Store grabó un minuto de la pantalla de los usuarios cada 15 minutos y lo reenvió a los servidores de los desarrolladores a través de un enlace cifrado. La aplicación comenzó como una inocente aplicación de grabación de pantalla, pero se volvió malvada después de una actualización en agosto del año pasado.
Grabación de audio sin consentimiento
iRecorder Screen Recorder permitió a los usuarios grabar la pantalla de sus dispositivos Android cada 15 minutos y enviarla al desarrollador de la aplicación. Según un informe de El bordela aplicación tuvo más de 50.000 descargas desde Google Play Store desde que salió por primera vez en septiembre de 2021.
Once meses después de su lanzamiento, la aplicación lanzó una actualización, que incluye la capacidad de encender de forma remota el micrófono del dispositivo y grabar sonido, conectarse a un servidor controlado por un atacante y cargar el audio y otros archivos confidenciales almacenados en el dispositivo. Pero aquí también comenzó la grabación subrepticia cada 15 minutos sin el consentimiento de los usuarios.
Seguridad esencial contra amenazas en evolución El investigador Lukas Stefanko descubrió que estas grabaciones se implementaron utilizando el código del troyano de acceso remoto para Android AhMyth, que se ha incorporado en varias aplicaciones de Google Play Store en los últimos años. Una vez agregado, todos los usuarios de iRecorder recibieron una actualización que permitió que esto sucediera.
El código tomado de AhMyth fue modificado en gran medida a medida que pasaba el tiempo, lo que indica que el desarrollador dominó el RAT de código abierto. A pesar de estas amenazas, las aplicaciones con AhMyth integrado (incluido iRecorder) superaron los filtros de Google antes. De hecho, la aplicación fue eliminada con 50.000 descargas ya.
Probando la aplicación
Stefanko instaló la aplicación repetidamente en dispositivos de su laboratorio para examinarla, lo que arrojó los mismos resultados cada vez. La aplicación recibió instrucciones de grabar un minuto de audio y enviarlo al servidor de comando y control, C&C o C2 para términos coloquiales en los círculos de seguridad.
Durante el análisis, ArsTechnica informó que el investigador descubrió que el archivo de configuración siempre devolvía el comando para grabar audio, lo que significa que encendía el micrófono, capturaba el audio y lo enviaba a C2. La prueba recibió de tres a cuatro intentos de repetir el proceso antes de detener el malware.
Lea también: Cómo descubrir quién te está acosando: la aplicación Google Phone al rescate
Posible motivo
La posible razón por la que iRecord está haciendo esto es que la aplicación es parte de una campaña de espionaje activa, pero los investigadores no pudieron determinar si este podría ser el caso. El investigador cree que parece muy inusual que la aplicación no tenga un motivo, ya que envía el audio obtenido a los atacantes.
“Desafortunadamente, no tenemos ninguna evidencia de que la aplicación haya sido enviada a un grupo particular de personas, y a partir de la descripción de la aplicación y de investigaciones adicionales (posible vector de distribución de la aplicación), no está claro si un grupo específico de personas fue el objetivo. o no”, señaló Stefanko en un entrada en el blog.
ⓒ 2023 . .
